DROWN, una vulnerabilidad que afecta a 1 de cada 3 webs seguras

Habitualmente, tendemos a considerar los sitios web a los que se accede tecleando HTTPS: como páginas de seguridad garantizada. Sin embargo, una nueva vulnerabilidad en OpenSSL, conocida como DROWN, lo pone en cuestión.

DROWN, dada a conocer hoy, afecta a servidores que utilizan SSLv2 y abriría la puerta a ataques que podrían descifrar las comunicaciones seguras HTTPS, tales como introducción de contraseñas o números de tarjetas de crédito. SSLv2 data de la década de 1990 y con frecuencia está activado por accidente o de forma automática cuando se crea un nuevo servidor. Esa es la razón por la que DROWN es un problema importante.

En este caso, permite a los atacantes descifrar HTTPS mediante el envío de paquetes especialmente diseñados a un servidor o, si el certificado es compartida en otro servidor, realizar un ataque man-in-the-middle. Según TNW, más del 33% de los servidores son vulnerables, una cifra significativamente menor que la de la renombrada Heartbleed, pero aun así demasiado alta.

Entre los sitios web vulnerables a causa de este agujero están los de Yahoo!, Alibaba, Weibo, BuzzFeed, Weather.com, Flickr y Samsung.

La vulnerabilidad fue revelada hoy como parte de una actualización de OpenSSL y ya está disponible un parche, pero para defenderse de posibles explotaciones, debe asegurarse de que SSLv2 está desactivado o de que la clave privada no se comparte a través de cualquier otro servidor. Los sitios vulnerables no tienen que volver a emitir los certificados, pero deberían tomar medidas para prevenir un ataque de inmediato.

Juan Miguel Revilla

Recent Posts

El teléfono OnePlus 13 verá la luz en enero

Se trata del primer smartphone de la compañía con certificación IP68 + IP69

9 horas ago

WSO2 API Manager y WSO2 APK avanzan en IA, microservicios, productividad y seguridad

WSO2 permitirá gestionar servicios de inteligencia artificial como API y amplía la compatibilidad con Kubernetes.

10 horas ago

XCore Kit PRO de MAXHUB recibe la certificación Microsoft Teams Rooms

Esta herramienta de colaboración cuenta entre sus características con pantalla táctil de 11,6 pulgadas y…

11 horas ago

Esker integra su solución de Cuentas por Pagar en tiempo real con Microsoft Dynamics 365

Los usuarios podrán recibir, introducir y realizar seguimientos de facturas de proveedores sin cambiar de…

11 horas ago

Kyndryl revela tendencias clave en IA empresarial en Readiness Report 2024

Kyndryl presenta su Readiness Report 2024, destacando desafíos en ciberseguridad, modernización tecnológica y sostenibilidad empresarial.

12 horas ago

La plataforma Colt On Demand incorpora en Europa 130.000 ubicaciones nuevas

La actualización de la plataforma NaaS de Colt afecta a Reino Unido, Francia, Luxemburgo, Países…

12 horas ago